デジタルセキュリティの10の大きなアイデア

セキュリティニュースとは、デスクトップコンピュータに広がる不明瞭な脆弱性とウイルスを意味することは、それほど昔ではありませんでした。 しかし今では、世界中の人々が政府機関を索していること、Heartbleedが個人データをWeb上で公開していること、モバイルの脅威が増加していることを心配しています。 ヘック、エドワード・スノーデンの国家安全保障局の国内スパイ活動に関するリークの報道は、今年ピューリッツァー賞を獲得しました。 私たちの生活がデジタル機器やインターネットに集中するにつれて、セキュリティを心配する人が増えています。 問題は、本当の問題は何か、そして主流メディアからの今月の単なる誇大広告は何ですか？

本当に重要なことの確実な概要については、RSAカンファレンスのために何千人もの参加者がサンフランシスコに集まったこの2月に巻き戻してください。 その中には、セキュリティ製品の作成者と、最大のセキュリティストーリーのいくつかを破った研究者がいました。 この種の最大の集まりの1つであり、RSACのアイデアは、今年の残りの期間、デジタルセキュリティに大きな影響を与えるでしょう。

スノーデンとセキュリティ

人々は米国政府が誰もが言ったことすべてを聞いていたと冗談を言っていましたが、誰もそれについて本当に笑っていません。 国家安全保障局とRSA Securityの間の申し立てられた取引は、RSA会社と直接提携しなくなった会議に苦痛を投げかけました。

驚くべきことに、NSAは今年もショーフロアにプレゼンスを置くことを再び決定しました。 たとえそうでなかったとしても、NSAを避けることは困難でした。 一部のベンダーは、代理店のロゴを記載したコースターを配りましたが、他のベンダーは、公開ホワイトボードにスナイドリマークを書きました。 あるベンダーは明らかにNSAのブースの近くにあることに反対し、別のベンダーはSnowdenについてのループビデオを実行する機会を得ました。

一部の講演者は抗議でプレゼンテーションを引き、Trustyconと呼ばれる競合する1日のイベントを開催しました。 これは、プライバシーの問題に対する認識を高めることを目的としていましたが、一部の人々はそれを異なって見ていました。

中国だれ？

昨年、みんなのベッドの下のブギーマンは中国でした。 業界関係者の間での恐怖は、知的財産を盗んでそれを中国の競合他社に販売または提供する中国の国家支援または単独の攻撃者でした。 また、国家間のサイバー戦争の脅威もありましたが、洗練された高度な持続的脅威の継続的な報告により、いっそう現実的なものになりました。

今年を早めに進めると、懸念はより穏やかになります。 講演者は「知的財産の盗難」に言及したが、誰がその背後にいるのかを言う必要性を感じなかった。 昨年「国民国家」攻撃が言及されたとき、それはほぼ確実に「中国」を意味していましたが、今年は簡単に「アメリカ合衆国」を意味していました。

十のこと

これらの大きな話のほかに、RSAにはいくつかの有望な開発、新しい技術、および実証済みのアドバイスがありました。 何よりもまず？ ソフトウェアにパッチを適用します。 また、過去のパスワードを変更したいベンダーも多くありましたが、すぐにそれが起こることを期待しています。 また、来年のショーの前に皆さんが読書をすることを願っています。

これらは、セキュリティの専門家が話題にしている大きな話の一部でしたが、それだけではありません。 セキュリティで現在起こっているトップ10の大きなアイデアを以下に示します。

1 10.暗号化のバックドア

国家安全保障局は、今年の会議で皆の心にありました、そして、それは過去一年間の最大の安全物語でした。 また、RSA Conferenceは、RSA Security社とは別個の組織ですが、RSAとNSAの間の数百万ドルの接続の疑惑は頻繁に議論されていました。 RSAのArt Coviello議長は基調講演での申し立てを却下したが、スパイ機関内での改革を求めた。 昨年とは全く対照的に、中国に対する懸念は、暗号化が私たちが考えたほど安全ではないかもしれないという懸念に背を向けました。



2 9.流行語殺しの言葉

単語が流行語のステータスに達すると、有用な意味がなくなります。 悲しいことに、誰もが同じ言葉を使っていたRSACにそのような言葉がたくさんありましたが、誰もその定義に同意しませんでした。 脅威インテリジェンスに関しては、侵害の兆候について話していましたか、それとも既存のデータをサードパーティのソースで強化することについて話していましたか？ 「次世代」とはどういう意味ですか？ この時点で、next-next-genにいるはずです。 これほど多くの製品がセキュリティ革命の先駆けとなりますか？ 業界は、将来有望なことさえ知っていますか？

FlickrユーザーのSoumyadeep Paul経由の画像



3 8.トースター、車、コーヒーメーカーが攻撃するとき

モノのインターネットは今年RSA会議に忍び込み、誰もがそれらを保護する見通しを心配しています。 重要なポイントは、非常に悲惨なことに、家電製品、医療機器、自動車など、すべてのデバイスを保護する準備がまだ整っていないことです。 それでも、犯罪者はコネクテッドカーを遠隔操作したりクラッシュさせたりする可能性は低いと言って、一部の人はそれほど心配していませんでした。 犯罪者が「上流」に移動して、モノを使用するサーバー（自動車用OnStarサーバーなど）を侵害し、それらを収益化する可能性が高くなります。

モノのインターネットは、間違いなく、より多くのデバイスが接続されるにつれてますます出現するでしょう。 Heartbleedをきっかけに、研究者たちはサーバーだけでなく、接続されたすべてのデバイスに関心を持ちました。



4 7.すべてを暗号化する

セキュリティ、特にモバイルセキュリティを改善する方法に関する全員からの答えは、暗号化、暗号化、暗号化でした。 モバイルアプリはインターネット上で膨大な量の情報を移動させており、多くの開発者はこれらのトランザクションを暗号化しないことを選択しており、攻撃者や国家に十分な注意を払っています。 再びNSAに目を向けると、Co3 CTOのブルース・シュナイアーは、政府機関はおそらく何らかの暗号化を破ったが、大量の暗号化されたデータを処理できないと主張した。 彼は、大量の暗号化されていない情報が飛び回っているだけで、データを備蓄しようとする誰にとっても簡単すぎていると言いました。 2月に、暗号化に関する懸念はNSAが作成した脆弱性とAppleのSSLトラブルに基づいていました。 Heartbleedの発表は、私たちが持っている最高のツールでさえまだ完璧ではないということを忘れさせてくれます。

Flickrユーザーの匿名アカウント経由の画像

• 5 6.特効薬はありません

  私たちはRSACでプレゼンテーションや個人について多くの時間を費やしましたが、イベントは展示会であり、展示フロアにはバイヤーに自社製品が最高であることを納得させるために働いているベンダーがたくさんいることを忘れてはなりません。 驚くべきことに、多くのセキュリティ企業は、いまだかつてないセキュリティ問題の単一サービスソリューションである特効薬のアイデアを推進しています。 過去1年間に攻撃の手段が数多く存在し、攻撃の背後にいる者と攻撃の内容によって異なる可能性があることを示していることを考えると、これは少し驚くべきことです。 HPの上級副社長Art Gillilandは、企業が新しい武器の検索を停止し、セキュリティに対するより包括的なアプローチを取ることを提案しました。 彼の改善リストで最も重要なのは？ 個人に投資し、セキュリティトレーニングを改善します。



6 5.モバイルAVが機能しない

Androidを改善するためにAndroidと連携してセキュリティコミュニティが機能していることを称えながら、GoogleのAndroid Securityのリードエンジニアは、これまでモバイルセキュリティの薄暗い見方をしていました。 彼は、Googleの目標は静かで目に見えないセキュリティを提供することであり、セキュリティ企業は注目を集めて売り上げを伸ばすことを重視していると述べました。 viaForensicsのCEO兼共同設立者のAndrew Hoogも、モバイルの従来のセキュリティモデルに問題を抱えていました。 彼は、モバイルオペレーティングシステムでのアプリのサンドボックス化は、アプリのセキュリティ保護に優れているが、セキュリティアプリが脅威に対処する能力も制限することを指摘しました。 彼の解決策は？ セキュリティ開発者にルート権限へのアクセスを許可します。

私はどちらの立場にも完全に同意しませんが、モバイルの脅威が高まるにつれて、デバイスを保護する新しい方法が必要になります。 悪意のあるアプリから保護するだけでは不十分であり、セキュリティ企業がモバイルアプリに追加しているツールは便利ですが、永久に十分ではありません。

FlickrユーザーTiago A. Pereira経由の画像



7 4.運転席のセキュリティ

セキュリティが組織のDNAの一部である必要があること、およびセキュリティチームが常に危機や消防モードに常に対応することができない方法について、多くのことを話します。 一般的なコンセンサスは、攻撃手段を遮断するためのより良いセキュリティ対策を講じるか、最初からセキュリティの懸念が考慮されていることを確認するために他のチームと統合することによって、脅威に先んじているようです。



8 3.セキュリティにもっと多くの人が必要

私たちが耳にしたことの1つは、セキュリティの専門家が不足していることでした。 従来、セキュリティについて考える必要がなかった企業（データの保護や製品の安全性の確保）は、経験豊富なセキュリティの専門家を見つけるのに苦労しています。 政府機関は、最も優秀なハッカーを惹きつけてランクを上げようとしています。 スキルのギャップがあります。これは、セキュリティに特化した人材が不足していることもありますが、企業が適切な採用を行っていないためです。

より多くの女性、特に情報セキュリティが必要です。 RSACのセッションは、infosecに興味のある女性を励ますためのサポート構造を作成することに焦点を当てただけでなく、彼らの成果のいくつかを強調するために。



9 2.漏れやすいアプリはモバイルマルウェアよりも悪い

マルウェアに対する防御は、多くのモバイルセキュリティ企業にとって引き続き焦点となっていますが、それだけが脅威ではありません。 RSAC会議の多くの参加者は、漏れやすいアプリ、つまり暗号化せずに、または大量にユーザーの個人データを送信するアプリは、ユーザーにとってはるかに大きな脅威であると示唆しました。 Mobile Threat Mondayの記事を読んだ読者にとって、これは驚くことではありません。 今年、消費者がアプリの実際の動作を確認できるように、viaProtectなどの新しいツールを楽しみにしています。 とはいえ、誰かが5分以内にAndroidアプリを引き裂き、修正し、再パッケージ化するのを見るのは、マルウェアが依然として問題であることを思い出させるものです。

FlickrユーザーGrotuk経由の画像

• 10 1.監視は廃止されない

  新たに作成されたFBIディレクターのJames Comeyは、RSAC 2014のプレゼンテーションで2つのことを明らかにしました。FBIはサイバー脅威と戦うためにビジネスからの協力を必要としていますが、電子監視はここにあります。 1つのレベルで、私たちは皆これを知っています。 悪者が電子メールや他のツールと通信しているときに、スパイや警官が電話を盗み続けることは期待できません。 社会としては、デジタル通信が標的であり、おそらく正当なものであることを受け入れる必要があります。 同様に、米国intelligence報関係者の魅力的な円卓会議のパネリストは、NSAは「不正機関」ではなく、他のすべての国家が電子監視に従事していることを強調しました。 彼らはまた、国内スパイはプライバシーとのより良いバランスをとる必要があり、人々は選出された役人がintelligence報活動のためにもっともらしい否定の「カバーストーリー」を使用することを許可すべきでないと述べた。